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Abstract: 

EP 3 11470 A 



The bank card draws at random an element (r) between 1 and N-1 in the ring of module N and gives 
it T 128 bits of the public power of this element. The verifier draws at random an exponent (D) 
between zero and p-1 and transmits it to the card. The card then calculates the product (t) in the ring 
of the element (r) and the accreditation (B) raised to the power of the exponent (D). 

The verifier calculates in the ring the product of t raised to the power (p) and the hidden identify (J) 
raised to the power of the exponent (D). The proof is accepted if all the public bits of T are recovered 
so that the authenticity of the bank card is admitted. 



ADVANTAGE - Single processing only is required. 
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Method of authentication of an accreditation with nil contribution to recognition, a) this accreditation 
having been derived by a method of the public-key type comprising the following operations: - an 
authority which is entitled to deliver accreditations chooses two prime numbers, forms the product N 
of these two numbers, keeps these numbers secret, chooses an integer p and publishes N and p; - for 
each holder to an accreditation, a numerical identity I is constituted, then completed by redundancy in 
order to form a word J called protected identity, - an accreditation A is derived by the authority by 
taking the pth root of the protected identity in the ring of integers modulo N (A = Jl/p mod N), - in an 
appropriate medium containing a memory, the authority loads the modulo N inverse of the 
accreditation A i.e. a number B called inverse accreditation (Bp J mod N = 1), this number B 
constituting the accreditation which it is a question of authenticating, b) the authentication of the 
accreditation thus derived, consisting in a probabilistic and interactive numerical process of the type 
v^dth nil contribution to recognition taking place between a medium containing an accreditation, 
called "the verified subject", and an authentication member called "the verifier", this process 
comprising at least one numerical processing constituted by the following known operations: - the 
verified subject first of all draws at random an integer r belonging to the ring of integers modulo N, - 
the verified subject raises this integer r to the power p modulo N, the result being called title T, - the 
verified subject then delivers at least some of the bits of the title T, - the verifier next draws at 
random a number D and asks the verified subject to effect certain operations on r and on the inverse 
accreditation B, these operations being linked to the number D drawn at random by the verifier and 
the operations being effected in the ring of integers modulo N, - the verified subject delivers to the 
verifier a number t, called witness, which is the result of these operations, - the verifier in turn effects 
operations concerning the witness t delivered by the verified subject and the protected identity J of 
the verified subject, these operations being themselves linked to the number D drawn at random by 
the verifier and being effected in the ring of integers modulo N, - the verifier compares the result thus 
obtained with the bits of the title T which the verified subject has delivered at the start of the 
verification process and admits the authenticity of the accreditation if it finds these bits again, this 
method being characterised in that: a) during the derivation of the accreditation (B) the number p 
serving to extract the pth root from the protected identity (J) is chosen to be large and 
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US 5140634 A 

The system for the authentication of an accreditation information A with zero knowledge proof has 
an authority issuing the accreditation chooses two prime factors which forms the product N of these 
two factors, keeps secret these factors, chooses an integer p that comprises at least ten bit positions 
and publishes N and p. For the holder of the accreditation, a digital identity is formed, and 
supplemented by redundancy in order to form a shaded identity word J. Accreditation information A 
is formulated by the authority by taking the p-th root of the shaded identity J in the ring of integers 
modula N. A memory stores inverse information modulo N of the accreditation information B which 
is to be authentication. A processor executes the authentication operation using a single layer 
interactive and probabilistic digital process of the zero knowledge proof type. It includes a 
communication device for communicating between a medium containing the memory called "the 
verified" and an element called "the verifier". 

USE - Smart cards and bank cards. (Dwg.l/10)t 
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Proc6d6s et systdmes d'authentification d'accreditations ou de messages a apport nul de connaissance et de signature 
de messages. 



@ Procedes et systemes d'authentification d*accreditation 
ou de messages, et de signature de messages. 

Au lieu d*utiliser des accreditations multiples et un processus 
iteratif de verification, on utilise une accreditation profonde 
(exposant p eleve) et on tire au hasard un nombre 0 compris 
antra 0 et p-1. Les operations de verification passent par le 
calcul de la puissance D ieme de I'accreditation inverse B. 

Application notamment aux cartes a puce et plus speciale- 
ment aux cartes bancaires. 
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Description 

PROCEDES ET SYSTEMES D'AUTHENTIFiCATION D'ACCREDITATIONS OU DE MESSAGES A APPORT NUL DE 

CONNAISSANCE ET DE SIGNATURE DE MESSAGES 



La presente invention a pour objet des procedes 
et des systemes d'autiientification d'accreditations 5 
OU de messages a apport nul de connaissance et un 
precede de signature de messages. 

^invention trouve de nombreuses applications 
dans la verification de i^autiienticite de cartes 
bancaires dites "a puces" ou plus generalement de 10 
Tauthenticite de tout support permettant a son 
detenteur de commander un acces, (a un local, a un 
coffre, a une banque de donnees, a un systeme 
informatise, a une ligne telephonique, etc.). Eile 
s'appiique egaiement a la verification de I'authenti- 15 
cite de messages de toute nature, ces messages 
pouvant commander une ouverture ou une ferme- 
ture, Tenclenchement ou I'arret d'un systeme, la 
.^commande de la mise afeu d'un engin, lacommande 
d'un satellite, le declenchement d'une alerte etc... 20 
Enfin, invention permet de signer des messages de 
telle maniere que leurs destinataires soient assures 
de leur provenance, et puissent a leur tour convain- 
cre un tiers sur cette provenance. 

L'invention s'appuye sur deux branches de la 25 
cryptographie qui sont respectivement la cryptogra- 
phie a cle revelee (ou a cle publique) et les 
procedures de verification a apport nul de connais- 
sance. Bien que invention ne concerne pas un 
precede de chiffrement, il n'est pas inutile de 30 
rappeler en quoi consistent ces deux techniques. 

De tout temps le maintien du secret des communi- 
cations a ete une preoccupation. Aujourd'hui que les 
systemes de telecommunications proliferent, il est 
devenu un probleme majeur. De ce fait, les techni- 35 
ques de chiffrement et de dechiffrement ont pro- 
gresse considerablement ces dernieres annees. Ce 
progres a d'ailleurs ete encore acceiere par I'avene- 
ment des calculateurs, qui ont permis d'elaborer des 
cryptosystemes a hautes performances. 40 

Dans un cryptosysteme, un message M, dit 
message en clair, est transforme a Taide d*une cle E, 
pour donner un message E(M) dit message chiffre. 
A la cle E correspond une cle inverse D qui permet 
de retrouver le message en clair par une transforma- 45 
tion inverse : D(E(M)) = M. 

Dans les techniques traditionneltes les deux cles 
E et D sont tenues secretes et ne sont connues que 
des seuls interlocuteurs. 

Dependant, un cryptosysteme original a ete 50 
developpe ces dernieres annees, dans lequel la cle 
de chiffrement n'est plus tenue secrete mats est, au 
contraire, revelee. Paradoxalement, cette revelation 
n'affaiblit en rien la securite du systeme. En effet, il 
se trouve que le chiffrement utilise une fonction telle 55 
que la connaissance de la cle E ne permet pas, dans 
la pratique, de retrouver la cle D de dechiffrement. 
On parle alors, de maniere imagee. d'une fonction 
"trappe" pour la fonction de chiffrement, fonction qui 
est particulierement difficile a inverser, sauf pour 60 
celui qui connait la valeur de la trappe. 

Les principes generaux de ces systemes ont ete 
decrits dans Particle de W. DIFFIE et M. HELLMANN 



intitule "New Directions in Cryptography" publie 
dans IEEE, Transactions ou Information Theory, vol. 
lT-22. pp 644-654, Nov. 1976. 

On peut aussi consulter a ce sujet Tarticle de M. 
HELLMAN intitule "The Mathematics of Public-Key 
Cryptography" publie dans Scientific American 
d'Aout 1979, vol.241, n°2, pp 130-139 ou sa 
traduction franpaise dans Tedition de "Pour la 
Science" sous le titre "Les Mathematiques de la 
Cryptographie a clef revelee", Octobre 1979, vol. 
n°24, pp 114-123. 

Les principes theoriques de la cryptographie a 
cle revelee ont pu etre mis en application de maniere 
particulierement efficace dans un systeme dit RSA 
(des initiates de ses inventeurs Ronald RIVEST - Adi 
SHAMIR et Leonard ADLEMAN). Ce systeme est 
decrit dans I'article de Martin GARDNER intitule "A 
new kind of cipher that would take millions of year to 
break" publie dans Scientific American, Aout 1977, 
pp. 120-121. Dans le systeme RSA la fonction trappe 
est la factorisation d'un nombre en elements 
premiers. On sait que Toperation de factorisation est 
Tune des plus difficiles de Tarithmetique. Par 
exemple pour trouver, a la main, les facteurs 
premiers d'un nombre modeste a 5 chiffres comme 
29 083, il faut quelques minutes. Ces nombres sont 
127 et 229. Mais I'obtention du produit de 127 par 
229 ne prend que quelques secondes. L'asymetrie 
d*une telle operation est done flagrante. Naturelle- 
ment, le recours a un ordinateur acceiere la 
factorisation mais ii demeure que, pour factoriser un 
nombre de deux cents chiffres, meme en mettant 
ensemble les ordinateurs les plus puissants ordina-^, 
teurs. 

En pratique done, on ne sait pas factoriser un tres 
grand nombre. 

Ces proprietes sont exploitees dans le systeme 
RSA de la maniere suivante. On choisit deux 
nombres premiers distincts, soit a et b, et on en 
forme le produit, soit N = a.b. On choisit egaiement 
un entier p, qui est premier avec le plus petit 
commun multiple de (a-1) et (b-1). Pour chiffrer un 
message, prealablement mis sous forme numerique 
M, M etant compris entre 0 et N-1, on calcule la 
puissance pieme de M dans I'anneau des entiers 
modulo N, soit C = MP mod N. (On rappelle que la 
vaieur d'un entier x modulo un entier y est egale un 
reste de la division de x par y ; ainsi, 27 modulo 11 
est egal a 5, car 27 divise par 11 donne 5 comme 
reste). La fonction "elever a la puissance p modulo 
N" definit alors une permutation des entiers de 0 a 
N-1. 

Pour dechiffrer un message tel que C il faut 
extraire la racine pieme du message chiffre C dans 
I'anneau des entiers modulo N. On montre que cette 
operation revient a elever le nombre C a ta puissance 
d. d etant I'inverse de I'exposant p modulo le plus 
petit commun multiple des nombres (a-1) et (b-1). Si 
Ton ne connait pas les facteurs premiers a et b, la 
determination de d est impossible et avec elle. 
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Toperation de dechiffrement. 

Par exemple, en choisissant A = 47 et b = 59, on 
obtient N = 47.59 ==2773. On peut prendre p = 17. La 
cle de codage est done definie par les deux nombres 
2773 et 17 (naturellement. dans la pratique, les 
nombres utilises sont beaucoup plus grands que 
dans cet exemple). 

Le codage d*un mot M se presentant sous forme 
du nombre 920 s'effectue par Toperation suivante : 
c = 920^7 mod 2773 
soit C = 948 mod 2773. 

Inversement, pour deciiiffrer le nombre 948, on 
utilisera un exposant d inverse de 17 modulo 1334 
qui est le ppcm de 46 et 58, Cet exposant d est 157 
car 157.17 = 2669 soit 1 modulo 1334. Dechiffrer 948 
revient done a calculer 948'' 57 mod 2773 soit 920, ce 
qui est bien le message initial. 

Ainsi, dans le systeme RSA. les nombres N et p 
peuvent lis etre publics (on parle alors de la 
"puissance publique p**), mais les nombres a et b 
doivent rester secrets. 

Naturellement, 11 est toujburs possible d'utiliser 
plus de deux facteurs premiers pour constituer le 
nombre N. 

Le systeme RSA est decrit dans le brevet des 
Etats-Unis d'Amerique N°4.405,829 delivre le 20 
Septembre 1983. 

Un tel systeme peut non seulement servir a 
chlffrer mais aussi a signer un message, 

Dans le contexte de la signature de messages une 
entite censee emettre des messages M, entlte 
appelee signatatre, est reputee travail ler avec une 
cle publique (N, p). Cette entite. pour signer ses 
messages avant emission, y ajoute une redondance 
pour obtenir un element de Tanneau des entiers 
modulo N, puis eleve cet element a la puissance d 
(inverse de p) modulo N. L'entite en question, 
detenant les parametres secrets de la cle publique, 
c'est-a-dire les deux facteurs premiers a et b, 
connait d. Le message signe est done 
S = [Red(M)]^mod N. 

Pour verifier la signature, le destlnataire du 
message utilise la cle publique (N, p) attachee a 
Tentite emettrice et calcule mod N. ce qui, par 
hypothese redonne I'element codant le message M 
avec sa redondance. En retrouvant la redondance le 
destinataire en conclut ainsi que le message n'a pu 
etre envoye que par I'entite qui pretend Tavoir fait, 
puisque seule, celle-ci, etait capable de trailer le 
message de cette maniere. 

Naturellement, les deux operations de chiffrement 
et de signature peuvent se combiner. Dans ce cas, 
Temetteur commence par signer son message en 
utilisant sa cle secrete ; puis il le chiffre en utilisant la 
cle publique de son correspondant. A ia reception, le 
correspondant dechiffre le message a I'aide de sa 
cle secrete, puis authentifie le message en utilisant 
le cle publique de I'emetteur. 

Ces techniques de cryptographie conduisent ainsi 
a des methodes d'authentification (d'un support, 
d*un message, etc.). Pour exposer plus en detail 
cet aspect, qui est au coeur de i'invention, on 
prendra comme exemple I'authentificatlon des 
cartes bancaires dites "a puce", sans que cela 
constitue naturellement en quoi que ce soit une 



limitation de la portee de I'invention. Le precede 
decrit ci-apres est utilise dans les cartes bancaires 
a puce emises aujourd'hui en France et en Norvege, 
la generalisation des puces dans les cartes ban- 
5 caires est en cours dans ces deux pays. 

Une carte bancaire a puce possede une identite, 
qui est constituee par un enchatnement d'informa- 
tions telles que le numero de serie de la puce, le 
numero du compte bancaire, une periode de validite 

10 et un code d'usage. La carte peut donner, sur 
demande, ces informations d'identite, qui se presen- 
tent sous forme d'une suite de bits formant un mot t. 

A I'aide de regies de redondance, on peut 
constituer un nombre J deux fois plus long que I 

15 qu*on notera par la suite Red(l) = J. Par exemple, si 
le nombre I s'ecrit sous forme de quartets, chaque 
quartet peut etre complete par un quartet de 
redondance de maniere a former autant d'octets de 
type a codage de HAMMING. Le nombre J est 

20 appele souvent Tldentite "ombragee" (I'ombre etant 
constituee en quelque sorte par la redondance qui 
accompagne Tidentlte). 

L'Organisation Internationale de Normalisation 
(ISO) a precise ces questions dans la note ISO/ 

25 TC97/SC20/N207 intitulee "Digital Signature with 
Shadow" devenue avant projet de norme DP9796. 

L'autorite habilitee a delivrer de telles cartes, en 
Toccurrence la banque, choisit un systeme a cle 
publique (N, p). Elle publie les nombres N et p mais 

30 garde secrete la factorisation de N. L'identite 
ombragee J de chaque carte est alors consideree 
comme un element de Tanneau des entiers modulo 
N. La banque peut en extraire la racine p ieme dans 
cet anneau (ce qui, comme expose plus haut, 

35 necessite ia connaissance des facteurs premiers de 
N, ce qui est le cas). Ce nombre, note par la suite A, 
est en quelle que sorte l'identite de la carte signee 
par la banque. On I'appelle "accreditation". On a 
done par definition A = J^^p mod N. 

40 Authentifier une accreditation revient alors a lire 
l'identite de la carte, soit sous la forme simple I. soit 
sous la forme ombragee J, puis a lire I'accreditation 
A dans la carte, a elever celle-ci a la puissance p 
dans I'anneau des entiers modulo N (ce qui est 

45 possible puisque les parametres N et p sont connus) 
et a comparer enfin le resuitat, soit A^ mod N. a J. Si 
A^mod N est egal a J alors I'accreditation A est 
authentique. 

Si cette methode permet de detecter des fausses 

50 cartes dont les identites auraient ete elaborees de 
maniere fantaisiste, elle presente neanmoins un 
inconvenient qui est celui de reveler I'accreditation 
des cartes authentiques. Un verificateur peu scrupu- 
ieux pourrait done reproduire des cartes identiques 

55 a celle qu'il vient de verifier (cartes que Ton pourrait 
appeler des "clones") en reproduisant I'aecredita- 
tion qu'il a lue dans la carte authentique. 

Or, Tauthentification d'une accreditation ne re- 
quiert pas, en toute rigueur, la communication de 

60 celle-ci au verificateur. mais seulement I'etablisse- 
ment d'une conviction que la carte dispose d'une 
accreditation authentique. Le probleme est done 
finalement de demontrer que la carte detient une 
accreditation authentique, sans reveler celle-ci. 

65 Ce probleme, qui semble insoluble a premiere 
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vue, peut cependant etre resolu par une procedure 
dite de preuve par apport nui de connaissance 
{''zero-knowledge proof"). Dans une telle procedure, 
rentite qui tente d'apporter la preuve (et que Ton 
appellera par la suite le "verifie") et Tentite qui attend 
cette preuve (et qu'on appellera le "verificateur") 
adoptent un comportement interactif et probabiliste. 

Cette technique a ete decrite par Shaft GOLD- 
WASSER, Silvio MICALI et Charles RACKOFF dans 
leur communication au "17th ACM Symposium on 
Theory of Computing" qui s'est tenu en Mai 1985, 
communication intitulee "The Knowledge Complexi- 
ty of Interactive Proof Systems" et publiee dans les 
Comptes Rendus pp.291 -304. Les premiers exem- 
ples ont ete trouves en theorie des graphes. 

Adi SHAMIR a pense le premier a utiliser ce 
procede en theorie des nombres et on pourrait 
i'appliquer aux cartes a puces de la maniere 
suivante. Ce procede, que Ton appellera par la suite 
procede S, est le suivant. 

Au debut de la transaction d'authentiflcation, la 
carte proclame son identite 1. Les regies de 
redondance connues de tous, permettent de de- 
duire J, deux fois plus long que 1, qui correspond a 
ridentite ombragee. La carte et le verificateur 
connaissent tous deux les nombres N et p publies 
par I'emetteur de cartes, mais seul ce dernier 
dispose de la factorisation du nombre N, qui est 
I'information de trappe utilisee pour calculer les 
accreditations. 

La transaction d'authentiflcation se poursuit en 
repetant le traitement suivant : . 

- la carte tire au hasard un element r de I'anneau des 
entiers modulo N, en calcule la puissance p ieme (r^ 
mod N) dans Tanneau, et transmet cette puissance 
au verificateur en guise de titre T pour I'iteration ; 

- ie verificateur tire au hasard un bit d (0 ou 1) (ou si 
I'on veut, tire a pile ou face) pour demander a la carte 
en guise de temoin t : pour pile I'element r, et pour 
face te produit de I'element r par raccreditlon dans 
I'anneau (r.A mod N) ; autrement dit, dans Tincerti- 
tude du tirage le verifie doit tenir disponible r et r.A 
mod N ce qui implique la connaissance de A ; 

_ le verificateur eleve le temoin t a la puissance p 
modulo N pour retrouver : pour pile, le test T, et pour 
face le produit dans I'anneau du titre T par I'identite 
ombragee J. 

Ainsi, d'une part, il faut disposer de I'accreditation 
A pour posseder simultanement les deux valeurs 
possibles du temoin t, solt r et rA. D'autre part, le 
verifie ne peut deduire de cette transaction la valeur 
A de raccreditation car, meme s'il demande au 
verifie de lui fournir rA, il ne connaTt pas r, qui a ete 
tire au hasard par le verifie (le verificateur connalt 
bien rP, fourni comme titre par le verifie, mais il est 
incapable d'en extraire la racine p ieme modulo N, 
puisqu'il ne connait pas la factorisation de N). 

Le verifie qui ne serait pas detenteur d'une 
accreditation authentique pourrait bluffer en tentant 
de deviner le tirage du verificateur. S'il parie sur "0" 
("pile") il estime que le verificateur eievera le titre a la 
puissance p modulo N et que le verificateur 
comparera le resultat obtenu au titre T. Pour 
convaincre le verificateur, le verifie devra fournir 
comme titre T le temoin eleve a la puissance p. Si le 
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bluffeur parie au contraire sur "1" ("face") il estime 
que le verificateur eievera !e titre a la puissance p et 
multipliera ensuite le resultat obtenu par J. II lui faut 
done, pour convaincre, transmettre comme titre T, le 
5 temoin eleve a la puissance p multiplle par J. 

Autrement dit, le verifie a une chance sur deux de 
donner une bonne reponse s'il renverse la chronolo- 
gie des evenements, c'est-a-dire s'il determine non 
pas d'abord le titre T puis le temoin t, mais s'il parie 
10 sur le tirage du verificateur et s'il constitue le titre a 
posteriori a i'aide d'un temoin tire au hasard. 

Dans ce processus probabiliste, les chances du 
verifie de deviner la bonne reponse sont de une sur 
deux a chaque traitement, de sorte qu'en repetant 
15 ce traitement k fois, les chances du bluffeur tombent 
a 1/2*^. Le facteur de securite de ce procede 
d'authentiflcation est done de 2^. En pratique, k est 
de I'ordre de 16 a 24. 

Dans un tel procede le nombre p est petit, par 
20 exemple 3. On peut aussi utiliser 2, mais dans ce cas 
certaines precautions doivent etre prises dans le 
choix des facteurs premiers du nombre N pour que 
la fonction "elever au carre modulo N" soit une 
permutation sur les residus quadratiques de Tan- 
25 neau des entiers modulo N. Les nombres a et b 
doivent etre des entiers de la forme 4x + 3 ; on 
rappelle que les residus quadratiques sont des 
elements qui sont des carres dans I'anneau et 
ridentite ombragee J doit pouvoir etre modifiee en 
30 un residu quadratique representatif avant de calculer 
I'accreditation. Cette solution est decrite dans le 
document deja cite ISO/TC97/SC20/N207. D'autres 
solutions existent cependant. 

L'entier N, comme dans les cartes bancaires 
35 aujourd'hui, peut etre de la forme N = K 4-2^20 ou K 
est un entier de 240 bits publie et connu de tous les 
terminaux. Seul I'emetteur de cartes dispose de la 
factorisation de N. II est tout de meme conseille de 
prendre des nombres composes plus grand. 
40 L'identite i, comme dans les cartes bancaires 
aujourd'hui, peut etre un motif de 160 bits, obtenu 
par le chaTnage d'un numero de serle de la puce de 
44 bits, d*un numero de compte bancaire de 76 bits, 
d'un code d'usage de 8 bits et d'une periode de 
45 validite de 32 bits. L'identite ombragee presente 
alors 320 bits, L'accreditation est alors la racine 
cubique de ce mot, modulo N. C'est un nombre de 
320 bits. 

Un perfectionnement de cette technique consiste 

50 a utiliser non pas I'accreditation elle-meme A 
(APmod N=J) mais son inverse, note B. On a alors 
BPJ mod N = 1 ce qui permet de simplifler la 
comparaison du titre et du temoin. En effet, il suffit 
alors de transmettre un temoin egal a r(dB-d-h1) 

55 (qui est egal soit a r si d = 0 solt a rB si d=1 et de 
calculer tP(d J-d + 1 ) mod N pour trouver le titre T. Ce 
dernier peut alors n'etre transmis que partiellement, 
par exemple sous forme d'une centaine de ses bits 
ou encore mieux apres une compression par une 

60 fonction a sens unique. 

On rappelle qu'une fonction de compression fait 
correspondre a un ensemble de n elements un 
ensemble de m autres elements, m etant inferleur a 
n et tel qu'il sont pratiquement impossible de 

65 localiser deux elements ayant meme image. 
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La figure 1 annexee a la description iilustre ce 
precede. Les fleches allant de gauche a droite 
representent une transmission du verifie vers !e 
verificateur (identite I. titre T, temoin t) et les fleches 
allant de droite a gauche une transmission dans le 
sens inverse (bit d tire au hasard). Un tirage au 
hasard est represente par un cercle associe a un 
point d'interrogation. Le signe e signifie "appartient 
a" et les nombres entre accolades designent 
I'ensemble des entiers compris entre les deux 
bornes indiquees, bornes comprises. La comparai- 
son finale decidant de Tauthenticite de I'accredita- 
tion est schematisee par un signe egal surmonte 
d'un point d'interrogation. Le tirete marque un 
ensemble d'operations effectuees k fois (iteration). 

II a ete propose recemment un precede encore 
plus perfectionne, qui utilise des accreditations 
multiples. Ce precede a ete decrit dans la communi- 
cation de Amos FIAT et Adi SHAMIR, publiee dans le 
Compte Rendu de CRYPTO' 86, Santa Barbara, CA. 
USA. August 1986, communication intitulee : "How 
to Prove Yourself : Practical Solutions to Identifica- 
tion and Signature Problems", Springer Verlag, 
lecture Notes in Computer Science, N°263, 
pp.1 86-1 94. 

En notant dans la carte plusieurs accreditations, 
on augmente I'efflcacite du traitement, et on reduit le 
nombre d'iteratlons necessaires pour atteindre un 
niveau donne de securite vis-a-vis de la chance 
laissee au bluffeur. Dans cette methode de diversifi- 
cation, on produit n identltes dlversifiees II , In qui, 
compietees par leurs ombres, donnent n identites 
diversifiees ombragees J1, Jn. La carte contient 

les n accreditations inverses B1 Bn qui verifient 

les relations Ji.BiP mod N = 1. 

Dans ce precede, que i'on notera FS, chaque 
traitement ou iteration devient alors le suivant (en 
prenant 2 pour exposant public) : 

- la carte tire au hasard un element r dans I'anneau 
des entiers module N. puis transmet au verificateur 
128 bits du carre de cet element en guide de titre T ; 

- le verificateur tire au hasard un mot de n bits soit 
-b1, bn, quMI transmet a la carte ; 

- la carte calcule alors le produit de Telement r par 
les accreditations inverses designees par les bits a 
"r dans le mots de n bits b1, bn. Et la carte 
transmet en guise de temein la valeur t ainsi 
obtenue : 

t = r.(b1.B1-b1 +1) (bn.Bn-bn + 1) mod N 

_ le verificateur teste ce temoin t en relevant au 
carre dans I'anneau^ puis en multipliant ce carre par 
les identites ombragees diversifiees designees par 
les bits a "V du mot de n bits, 
soit : tP.(b1.J1-b1 + 1) (bnJn-bn + 1) mod N 

L'authenticite est prouvee si Ton retrouve les bits 
publics du titre T. 

N'importe qui pourrait tirer au hasard un temoin t, 
puis, dans I'anneau, elever au carre ce titre et 
multiplier par une selection d'identites diversifiees 
pour constituer apres coup un titre T. En effet, en 
donnant ce titre au debut du traitement, si la 
question posee est bien la selection escemptee. 
alors le temoin t est une repense acceptable qui 
authentifie la carte. 

II y a dene bien une stategte gagnante pour le 
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devin qui connaTt a i'avance le tirage du verificateur. 

Pour passer avec succes une iteration, le bluffeur 
doit, cette fois, deviner un mot de n bits et non plus 
un seul bit comme dans le precede GMR. Si les 2" 
5 valeurs sent equiprobables, le produit de la multipli- 
cite des accreditations (n) par le nombre des 
iterations (k) reduit exponentiellement les chances 
laissees au bluffeur. Le facteur de securite de la 
transaction d'authentification est alors 2**". 

10 A chaque iteration, le verifie transmet par exemple 
128 bits (par exemple un quart des 512 bits) et un 
element de I'anneau, et (e verificateur transmet n 
bits. A chaque iteration, le verificateur et la carte 
calculent un carre et font un nombre de multiplica- 

15 tiens egal au nombre de bits a "^i** dans le mot de n 
bits (poids de HAMMING). 

Comme autre compromis entre efficacite de 
I'iteration et nombre maximum de multiplications a 
effectuer durant Titeration on peut limiter le nombre 

20 de bits a 1 dans le mot de n bits. 

On pourra censulter a propes de cette technique, 
le compte rendu de la communication de Amos FIAT 
et Adi SHAMIR au "5e Congres Mondial de la 
Protection et de la Securite Informatique et des 

25 Communications" qui s*est tenu a Paris les 4-6 Mars 
1987 sous le titre "Unforgeable Proofs of Identity'*. 

La figure 2 annexee iilustre schematiquement ce 
precede FS, avec les memes conventions que pour 
la figure 1 . 

30 Ces precedes d'authentification d'accreditatien 
peuvent se transposer aisement a Tauthentification 
d'un message emis par une entite censee etre 
accreditee. Dans ce cas, le titre T transmis par ie 
verifie n'est plus forme uniquement par rP mod N, 

35 comme dans le cas precedent, mais aussi par le 
message m a authentifier. Plus precisement, le 
resultat par une fonction de compression, netee f, 
dent les arguments sent m et rP mod N. 

Les figures 3 et 4 schematlsent ces precedes^ 

40 dans le cas des techniques S et FS. 

enfin, ces techniques peuvent egalement servir a 
signer un message. La fonction de compression 
joue alors fe role assigne au tirage du verificateur. 
Plus precisement, dans le precede de type S, le 

45 signataire tire k elements r dans i'anneau des entiers 
modulo N, soit R1, R2, rk, qui vent jouer ie role 
des differents r tires au cours des k iterations. Le 
signataire eleve ces entiers au carre mod N et 
calcule la fonction de compression f(m, r2 mod N, ... 

50 rk2 mod N) ce qui fournit un nombre D ayant pour 
bits d1 , d2, dk. Chaque bit di de ce nombre joue le 
role que jouait le bit tire au hasard dans ie precede 
d'authentification d'accreditatien decrit plus haut. Le 
signataire forme alors k titres ti = riB*^' mod N, avec 

55 i = 1.2...k. Le message signe est alors constitue par 
un multiplet forme par m, I, d1 , dk, t1 , tk. 

Pour verifier un tel message signe on eleve au 
carre les titres ti module N et en multipiie chaque 
carre par J"^ modulo N. On calcule ensuite la fonction 

60 de compression f(m, TlSj^"* mod N tk^ J*^'* mod N) 

et Ton compare le resultat obtenu avec Ie nombre D, 

soit avec les bits d1, d2 dk. 

Dans I'applicatien a la signature de messages, le 
nombre k est plus grand que dans I'authentification. 

65 II est de I'erdre de 60 a 80. En effet, la verification ne 
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s'effectue plus en temps reei et le fraudeur a done 
tout son temps pour elaborer una fausse signature. 

Les figures 5 et 6 schematlsent ce precede dans 
le cas des techniques S et FS. Si toutes ces 
techniques de Tart anterieur conviennent bien en 
theorie, elles presentent cependant des inconve- 
nients du point de vue pratique. En particulier, la 
methode FS, avec la multiplicite de ses accredita- 
tions, consomme un espace memoire important. Par 
ailleurs, la necessite d'effectuer une repetition des 
traitements allonge ia duree des echanges, Enfin, la 
multiplicite des temoins allonge les informations a 
ajouter a un message pour le signer. 

La presente invention a justement pour but de 
remedier a cet inconvenient. A cette fin elle 
preconise une technique utilisant une seule accredi- 
tation (et non plus des accreditations multiples) et 
un seul traitement (et non plus une repetition de 
traitements). 

De fapon plus precise, la presente invention a 
d'abord pour objets une precede d'authentiflcation 
' d'une accreditation et un procede d'authentification 
d'un message, precedes qui mettent tous deux en 
oeuvre, d'une part, i'elaboration d*une accreditation 
basee sur le systeme a cle publique et, d'autre part, 
une preuve a apport nul de connaissance ; 

a) pour ce qui est de Toperation d'elaboration 
de I'accreditatlon, elle comprend tes operations 
connues suivantes : 

- une autorite habiiitee a delivrer des accredita- 
tions choisit deux nombres premiers, forme le 
produit (N) de ces deux nombres, tient secrets 
ces nombres qui constituent alors les facteurs 
premiers de N, choisit un entier p et publie N et 

p; 

- pour chaque detenteur d'une accreditation, 
une identite numerique I est constituee, puis 
completee par redondance pour former un mot 
J appele identite ombragee, 

- une accreditation A est elaboree par I'autorite 
en prenant la racine pieme de Tidentite ombra- 
gee dans I'anneau des entiers modulo N, (Ap 
modN = J), 

- dans un support approprie contenant une 
memoire, Tautorite charge IMnverse modulo N 
de I'accreditation A. soit un nombre B appele 
accreditation inverse (B"J mod N = 1). ce 
nombre B constituant I'accreditation qu'il s'agit 
d'authentifier ; 

b) pour ce qui est de Pauthentification de 
I'accreditation ainsi elaboree, cette operation 
consiste, de maniere elle aussi connue, en un 
processus numerique interactif et probabiiiste 
du type a apport nul de connaissance et 
s'etablissant entre un support contenant une 
accreditation, support appele "le verifie" et un 
organe d'authentification appele "le verifica- 
teur", ce processus comprenant au moins un 
traitement numerique constitue par ies opera- 
tions connues suivantes : 

- le verifie tire d'abord du hasard un entier r 
appartenant a Tanneau des entiers modulo N, 

- le verifie eieve cet entier r a la puissance p 
modulo N, le resultat etant appele titre T, 

- le verifie delivre alors au molns une partie des 



bits du titre T, 

- le verificateur tire ensuite au hasard un 
nombre D et demande au verifie d'effectuer 
certaines operations sur r et sur I'accreditation 

5 Inverse B, ces operations etant liees au nombre 

D tire au hasard par le verificateur et effectuees 
dans I'anneau des entiers modulo N, 

- le verifie delivre au verificateur un nombre t, 
appele temoin, resultat de ces operations, 

fQ - le verificateur effectue a son tour des 

operations portant sur le temoin t delivre par ie 
verifie et sur Tidentite ombragee J du verifie, 
operations liees elles aussi au nombre d tire au 
hasard par le verificateur et effectuees dans 

15 I'anneau des entiers modulo N, 

- le verificateur compare le resultat alnsi obtenu 
avec les bits du titre T que ie verifie a delivre en 
debut de processus de verification, et admet 
I'authenticite de raccreditatlon s'il retrouve ces 

20 bits. 

Le procede d'authentification d' accreditation se- 
lon rinvention est caracterise par le fait que : 

a) lors de I'eiaboration de I'accreditation (B) 
le nombre p servant a extraire la racine p ieme 

25 de ridentite ombragee (J) est choisi grand et 

comprend au moins une dizaine de bits, 

b) pour rauthentification de i'accreditation le 
processus ne comprend qu'un seul traitement 
interactif et probabiiiste (et non une repetition 

30 d'un tel traitement), ce traitement unique 

consistant dans les operations suivantes : 

- le nombre que le verificateur tire au hasard est 
un entier D compris entre 0 et p-1 (bornes 
incluses), 

35 - I'operation que le verifie effectue pour delivrer 

un temoin t est le produit, dans I'anneau des 
entiers modulo N, de I'element r qu'il a lui meme 
tire au hasard, par la puissance Dieme de 
I'accreditation inverse B, le titre etant alors" 

40 t = r.B°modN, 

- les operations qu'effectue le verificateur sent 
le produit, dans I'anneau des entiers modulo N, 
de la puissance p ieme du temoin t par la 
puissance D ieme de Tidentite ombragee J, soit 

45 tPpmodN, 

- I'operation de comparaison effectuee par le 
verificateur porte alors sur les bits du titre T 
delivres par le verifie et sur les bits obtenus par 
I'operation precedente, Tauthentlcite de Tac- 

50 creditation etant acqulse en un seul traitement 

des lors que tous les bits du titre delivre par le 
verifie sent retrouves par le verificateur dans fP 
PmodN. 

Pour ce qui est du procede d'authentification de 
55 message, le procede selon I'invention est caracte- 
rise par le fait que : 

a) lors de I'elaboration de I'accreditation du 
donneur d'ordre, le nombre p servant a extraire 
la racine p ieme de Tidentite ombragee est 

60 choisi grand et comprend au moins une dizaine 

de bits, 

b) pour I'authentification du message, le 
processus ne comprend qu'un seul traitement 
interactif et probabiiiste (et non une repetition 

65 d'un tel traitement), ce traitement unique 
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consistant dans les operations suivantes : 

- le nombre que le verificateur tire au hasard est 
un entier D compris entre 0 et p-1 (bornes 
incluses), 

- Toperation que le verifie effectue pour delivrer 
le temoin t est le produit, dans Tanneau des 
entiers modulo N, de Telement r qu'il a lui meme 
tire, par la puissance Dieme de Taccreditation 
inverse B, le temoin etant alors r.B^ mod N. 

- les operations qu^effectue le verificateur sont 
le produit, dans Tanneau des entiers modulo N, 
de la puissance p ieme du temoin t, par la 
puissance D ieme de Tldentite ombragee J, 

- le verificateur forme la fonction de compres- 
sion du message et du resultat des operations 
precedentes soit f (m, tP J° mod N) , 

- la comparaison que le verificateur effectue 
porte alors sur la fonction de compression qu'il 
a obtenue et sur le titre T que le verifie lui a 
delivre en debut de processus de verification, 
I'authenticite du message etant acquise en un 

seul traitement des lors que, a la fin de ce 

traitement, il y a correspondace entre tous les 
bits de la fonction de compression obtenue par 
le verificateur et les bits du titre delivres par le 
verifie. 

^invention a enfin pour objet un precede de 
signature de message. Dans ce cas I'accreditation 
du signataire est elaboree selon le precede connu a 
cle publique decrit plus haut et la signature consiste 
en un traitement numerique probabiliste connu 
comprenant les operations suivantes : 

- le signataire tire au hasards au moins un entier r 
appartenant a Tanneau des entiers modulo N, 

- le signataire eleve cet entier r a la puissance p 
modulo N. 

- le signataire calcule une fonction de compression f 
en prenant comme arguments le message m a 
signer et la puissance r"^ mod N obtenue, 

- le signataire forme au moins un temoin t en 
effectuant certaines operations sur r et sur Taccredi- 
tation inverse B, ces operations etant liees au 
nombre D tire au hasard et etant effectuees dans 
I'anneau des entiers modulo N, 

- le signataire transmet le message m, son identite I, 
le mot D, le ou les temoins t, Tensemble constltuant 
un message signe. 

Le precede de signature de message selon 
invention est caracterise par le fait que : 

a) lors de I'elaboration de Taccreditation du 
signataire le nombre p servant a extraire la 
racine p ieme de I'identite ombragee est choisi 
grand et comprend plusieurs dizaines de bits, 

b) pour Toperation de signature du mes- 
sage : 

- le signataire ne tire au hasard qu'un seul entier 
r appartenant a I'anneau des entiers modulo N, 

- la fonction de compression a pour arguments 
le message m et la puissance p ieme de r, ce qui 
fournit un nombre D, 

- le titre unique produit par le signataire est le 
produit, dans I'anneau des entiers modulo N, de 
rentier r par la puissance D ieme de I'accredita- 
tion inverse B, 

- le signataire fournit, avec le message m, son 



identite I, le mot D et le titre t. 
Dans les deux premiers precedes, le nombre p 
comprend au moins 10 bits et de preference entre 16 
et 24 bits. 

5 Dans ie precede de signature le nombre p est plus 

grand et comprend plusieurs dizaines de bits, par 

exemple de 60 a 80 bits. 

La vaieur de p est en effet !e facteur de securite 

d'un traitement elementaire. Si p est convenable 
10 pour le but recherche alors qu'on ne dispose que 

d'une seule accreditation profonde, en peut se 

contenter d'un seul traitement. 

La presente invention a egalement pour objet des 

systemes qui mettent en oeuvre ces precedes. 
15 De toute fa<?on I'invention sera mieux comprise a 

la lumiere de la description qui va suivre, qui se 

refere a des dessins annexes. Ces dessins com- 

prennent : 

- les figures 1 a 6, deja decrites, qui illustrent 
20 les precedes S et FS de I'art anterieur ; 

- la figure 7 illustre le precede d'authentifica- 
tien d'une accreditation selon I'invention ; 

- la figure 8 illustre le precede d*authentifica- 
tien de message selon I'invention ; 

25 - la figure 9 illustre le precede de signature de 

message selon Tinvention ; 

- la figure 10 montre schematiquement un 
ensemble permettant de mettre en oeuvre les 
precedes de I'invention. 

30 Les conventions utilisees dans les figures 7 a 9 
sont les memes que celles des figures 1 a 6. Dans 
tous ies cas Taccreditatien est obtenue par I'utilisa- 
tien d'un nombre p qui est grand. Les inventeurs 
qualifient cette accreditation de "profonde" par 

35 opposition aux accreditations habituelles utilisees 
dans ce demaine pour lesquelles p etait de Tordre 
de 2 ou 3 et qui sent, en quelque serte "superfi- 
cielles". 

Dans le cas des cartes a puce on a done, dans le 
40 cas de I'inventien, le traitement suivant : 

- la carte tire au hasard un element r (1^r<N-1) 
dans I'anneau des entiers modulo N, et donne en 
guise de titre T 128 bits de la puissance pubiique de 
cet element (rP mod N) ; 

45 - le verificateur tire au hasard un exposant D de 0 a 
p-1 et le transmet a la carte ; 

- la carte calcule le temoin t qui est le produit (dans 
i'anneau) de I'element r par la puissance D ieme de 
I'accreditation B (t = r.B° mod N) ; 

50 - le verificateur calcule dans I'anneau le produit de la 
puissance p ieme du temoin t par la puissance D 
ieme de I'identite ombragee J, soit fP J° mod N. 

La preuve est aceptee si tous les bits publics du 
titre T sont ainsi retrouves. 

55 N'importe qui ayant devine la question du verifica- 
teur (lexposant D) peut tirer au hasard un temoin t, 
puis faire a I'avance les calculs du verificateur, 
c'est-a-dire faire le produit dans Tanneau du temoin t 
a Texposant p par I'identite ombragee J a I'exposant 

60 D. En donnant le titre T au debut de I'iteration, si la 
question posee est bien D, alors le temoin t est une 
reponse acceptable. 

Ce raisonnement indiquant une strategic ga- 
gnante pour le devin montre que Ton ne salt pas 

65 distinguer des donnees provenant de I'enregistre- 
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ment d'une transaction reussie et des donnees 
provenant d'une mascarade construite en inversant 
la chronoiogie de I'iteration, c'est-a-dire en choisis- 
sant les exposants avant les titres. Le verificateur 
recueille des informations impossibles a distinguer 
de celles qu'ii aurait pu produire tout seul, sans 
interaction avec le verifie. ce qui montre que 
Taccreditation reste bien secrete dans la carte. 

Pour passer avec succes un traitement d*authen- 
tification, le bluffeur doit deviner un exposant D. Si 
les p valeurs de D sont equiprobables, la chance 
laissee au bluffeur est de 1/p. Le facteur de securite 
est done p. 

Dans un tel traitement le verifie transmet une 
centaine de bits en un element de I'anneau ; le 
verificateur transmet un exposant (D). Pour mener a 
bien un traitement le verifie caicule d'abord la 
puissance publique de Telement r tire au hasard, 
puis le produit de cet element r par la puissance D 
ieme de Taccreditation B. Le verificateur fait un peu 
moins de calcul pour retrouver le titre T car ii peut 
combiner intelligemment les calculs de puissance : 
la puissance Dieme de Tidentite ombragee J et la 
puissance pieme du temoin t. 

Si I'exposant p vaut 2^^, alors i'exposant D est un 
nombre de 16 bits. Ainsi en un seul traitement, avec 
un facteur de securite de 2^^, soit 65536, le verifie 
caicule dans Tanneau 16 carres, puis 16 carres et 
une moyenne de 8 multiplications. Le verificateur ne 
caicule que 16 carres et procede en moyenne a 8 
multiplications. 

Le procede d'authentification de message est 
illustre sur la figure 8 avec les memes conventions, la 
difference avec la figure 7 consistant uniquement 
dans la formation de la fonction de compression f. 

Pour signer un message, le detenteur de I'accre- 
ditation B de profondeur p commence par tirer au 
hasard un element r dans I'anneau puis caicule la 
puissance publique de Telement r{rP mod N). Puis il 
produit un exposant D grace a la fonction de 
compression f appliquee a la concatenation du 
message m et de la puissance publique de Telement 
r. Le temoin t est le produit de I'eiement r par la 
puissance Dieme de Taccreditation B. Le message 
signe est la concatenation de t'identite i, du 
message m. de I'exposant d et du temoin t. 

Pour verifier une signature, le verificateur caicule 
dans I'anneau le produit du temoin t a la puissance p 
par ridentite ombragee J (reconstruite a partir de 
ridentite proclamee I) a la puissance D pour 
reconstituer ce qui doit etre la puissance publique 
de I'eiement r. Enfin, le verificateur doit retrouver 
I'exposant D en appliqant la fonction f a la concate- 
nation du message m et de la puissance publique 
reconstituee. 

C'est ce qui est illustre sur la figure 9. 

Si p s'ecrit sur 64 bits quelconques, le signataire 
fait environ 192 multiplications dans I'anneau (il doit 
calculer successivement deux puissances avec des 
exposants de 64 bits sans pouvoir les combiner) 
pour mener a bien Toperation. Cette complexite est 
deja nettement inferieure a celle du procede RSA : 
768 multiplications en moyenne pour une exponen- 
tielie modulo un nombre compose sur 512 bits, et 
1536 pour un nombre compose sur 1024 bits. 
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Si p s'ecrit sur 64 bits quelconques, le verificateur 
fait seuiement environ 112 multiplications, car il 
combine ses operations en 64 carres et trois fois 16 
multiplications en moyenne, pour calculer d'un seul 

5 coup fPJ^ mod N. II est heureux que I'authentifica- 
tion soit plus simple que Telaboration de la signa- 
ture, car chaque signature est appelee a etre verifiee 
plusieurs fois. 

Mais, on peut choisir 2^^ (c'est-a-dire une puis- 

10 sance de 2) comma exposant p pour simplifier les 
calculs, sans modifier la securite du systeme. 
L'elevatlon a la puissance p se fait alors par 64 
carres. L'exposant D est un nombre de 64 bits. La 
signature se fait alors en 160 multiplications. La 

15 verification d'une signature se traduit en moyenne 
par 96 multiplications dans I'anneau, soit 12,50/o du 
RSA a 512 bits et 6,20/o du RSA a 1024 bits. 

Dans le procede anterieur FS decrit plus haut, 
avec 64 accreditations multiples dans le meme carte, 

20 il faut un carre et une moyenne de 32 multiplications. 
Ainsi, la methode de I'invention a accreditation — 
profonde, se paye par un surplus de calculs d'un 
facteur multipllcatif de I'ordre de 3. Quand, dans I'art 
anterieur, on se limite a 8 accreditations dans la 

25 carte, avec 8 temoins dans la signature, (8 iterations 
a 5 multiplications, soit 40 multiplications), le rapport 
diminue encore un peu, en faveur de Tinvention. 

Bien entendu, on peut aussi choisir 2^6 + 1 
comme exposant public (c'est-a-dire un nombre 

30 impair). Au prix d'une seule multiplication supple- 
mentaire pour calculer une puissance publique, on 
leve ainsi certaines restrictions relatives aux residus 
quadratiques dans I'anneau (lorsque I'exposant p 
est pair, plusieurs elements de I'anneau pouvant 

35 correspondre a la racine pieme, mais un seul 
convenant). 

La figure 10 represente schematiquement un 
calculateur permettant de mettre en oeuvre I'inven- 
tion. 

40 Le calculateur represente comprend une interface 
entrees-sorties ES, une unite centrale UC, une 
memoire programmable du type a lecture seuiement 
(PROM), une memoire a lecture seuiement (ROM) et 
une memoire a acces direct (RAM). Le calculateur 

45 comprend encore un organe G du type generateur 
de bruit ou generateur aleatoire. 

L'accreditation et les informations d'identite ins- 
crites dans la memoire PROM inaccessibles de 
Texterieur. Les programmes sont inscrits dans la 

50 memoire ROM. La memoire RAM sert a stocker des 
resultats de calcul. Le generateur G est utilise pour 
les tirages au sort des divers nombres intervenant 
dans le procede (r, D). 

L'unite centrale et les memoires peuvent etre 

55 structurees comme le microcalculateur autopro- 
grammable monolithique decrit dans ie brevet 
4,382,279 des. Etats-Unis d'Amerique. 

La fonction de compression peut faire appei a 
I'algorithme DES (Data Encryption Standard). II 

60 existe une carte a puce, fabriquee par PHILIPS qui 
realise cet algorithme DES. 
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Revendtcations 



1. Procede d'authentification d'une accredi- 
tation a apport nul de connaissance, 

a) cette accreditation ayant ete elaboree par un 
procede du type a cle publique comprenant les 10 
operations suivantes : 

- une autorite habilitee a delivrer des accredita- 
tions choisit deux nombres premiers, forme le 
produit (N) de ces deux nombres, tient secrets 

ces nombres, choisit un entier p et publie N et 15 

p; 

- pour chaque detenteur d'une accreditation, 
une identite numerique I est constituee, puis 
completee par redondance pour former un mot 

J appele identite ombragee, 20 

- une accreditation A est elaboree par I'autorite 
"en prenant la racine pieme de I'identite ombra- 
gee dans Tanneau des entiers modulo N 
(A = J^'PmodN), 

- dans un support approprie contenant une 25 
memoire, I'autorite charge I'inverse modulo N 

de raccreditation A soit un nombre B appele 
accreditation inverse (B"J mod N = 1), ce 
nombre B constituant raccreditation qu'il s'agit 
d'authentifier, 

b) rauthentification de raccreditation ainsi 
elaboree, consistant en un processus numeri- 
que interactif et probabiliste du type a apport 
nul de connaissance et s'etabiissant entre un 
support contenant une accreditation, support 35 
appele "le verifie" et un organe d'authentifica- 
tion appele "le verificateur", ce processus 
comprenant au moins un traitement numerique 
constitue par les operations connues sui- 
vantes : 

- le verlfie tire d'abord au hasard un entier r 
appartenant a I'anneau des entiers modulo N, 

- le verifie eleve cet entier r a la puissance p 
modulo N, le resultat etant appele titre T, 

- le verifie delivre alors au moins une partie des 45 
bits du titre T, 

- le verificateur tire ensuite au hasard un 
nombre (d) et demande au verifie d'effectuer 
certaines operations sur r et sur raccreditation 
inverse B, ces operations etant liees au nombre 50 
(d) tire au hasard par ie verificateur et effec- 
tuees dans I'anneau des entiers modulo N, 

- le verifie delivre au verificateur un nombre t, 
appele temoin, resultat de ces operations, 

- Ie verificateur effectue a son tour des 55 
operations portant sur le temoin t delivre par le 
verifie et sur I'identite ombragee J du verifie, 
operations liees elles aussi au nombre d tire au 
hasard par Ie verificateur et effectuees dans 
I'anneau des entiers modulo N, 60 

- le verificateur compare le resultat ainsi obtenu 
avec les bits du titre T que le verifie a delivre en 
debut de processus de verification, et admet 
rauthenticite de raccreditation sMI retrouve ces 

bits. 65 



ce procede etant caracterise par le fait que : 

a) lors de I'elaboration de {'accreditation 
(B) le nombre p servant a extraire la racine 
p ieme de I'identite ombragee (J) est choisi 
grand et comprend au moins une dizaine 
de bits, 

b) pour rauthentification de raccredita- 
tion le processus ne comprend qu'un seul 
traitement interactif et probabiliste (et non 
une repetition d'un tel traitement), ce 
traitement unique consistant dans les 
operations suivantes : 

- le nombre que le verificateur tire au 
hasard est un entier D compris entre 0 et 
p-1 (bornesincluses), 

- I'operation que Ie verifie effectue pour 
delivrer un temoin t est le produit, dans 
I'anneau des entiers modulo N, de I'ele- 
ment r qu'il a iui meme tire au hasard, par la 
puissance Dieme de raccreditation inverse 
B, le titre etant alors t = r.B° mod N, 

- les operations qu'effectue le verificateur 
sont le produit, dans I'anneau des entiers 
modulo N, de la puissance p ieme du 
temoin t par la puissance D ieme de 
I'identite ombragee J, soit t^ J° mod N, 

- I'operation de comparaison effectuee 
par le verificateur porte alors sur les bits du 
titre T delivres par le verifie et sur les bits 
obtenus par I'operation precedente, I'au- 
thenticite de raccreditation etant acquise 
en un seul traitement des lors que tous les 
bits du titre delivre par le verifie sont 
retrouves par le verificateur dans t^ J° mod 
N. 

2. Procede d'authentification d'un message, 
ce message provenant d'un donneur d'ordre 
cense etre accredite : 

a) raccreditation d'un donneur d'ordre consis- . 
tant en un mot numerique B obtenu par un 
procede a cle publique comprenant les opera- 
tions suivantes : 

- une autorite habilitee a delivrer des accredita- 
tions choisit deux nombre premiers, forme le 
produit N de ces deux nombres, tient secrets 
ces deux nombres, choisit un entier p et publie 
N et p, 

- pour chaque donneur d'ordre une identite 
numerique 1 est constituee puis completee par 
redondance pour former un mot J appele 
identite ombragee, 

- une accreditation A est elaboree par I'autorite 
en prenant la racine p ieme de I'identite 
ombragee J dans ranneau des entiers modulo 
N. (A = J^'Pmod N), 

- dans un support approprie detenu par le 
donneur d'ordre I'autorite charge I'inverse mo- 
dulo N de raccreditation A. soit un nombre B 
appele accreditation inverse (Bp J mod N = 1 ), 

b) rauthentification d'un message (m) emis par 
un donneur d*ordre ainsi accredite consistant 
en un processus numerique interactif et proba- 
biliste du type a apport nul de connaissance et 
s'etabiissant entre le support du donneur 
d'ordre cense accredite et appele "le verifie" et 
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un organe de verification appele "!e verifica- 
teur", ce processus comprenant au moins un 
traite'ment numerique constitue par les opera- 
tions suivantes : ^ ^ 

- !e verifie tire d'abord au hasard un entier r 
appartenant a I'anneau des entiers modulo N, 

- le verifie eleve cet entier r a ia puissance p 
modulo N et calcule un resultat par une fonction 
de compression en prenant comma argument 
le message m et rP mod N, soitf(m, rP mod N), le 
resultat etant appele titre T, 

- le verifie deiivre alors au moins une partie des 
bits de titre T. 

- le verificateur tire ensuite au hasard un 
nombre d et demande au verifie d'effectuer 
certains operations sur r et sur raccreditatlon 
inverse B, ces operations etant iiees au nombre 
d tire au hasard par le verificateur et etant 
effectuees dans Tanneau des entiers modulo N, 

- le verifie fournit au verificateur un nombre t, 
appele temoin, resultat de ces operations, 

- ie verificateur effectue a son tour des 
operations portant sur le temoin t deiivre par le 
verifie et sur I'identite ombragee J du verifie, 
operations liees elles aussi au nombre D tire au 
hasard par le verificateur et effectuees dans 
ranneau des entiers modulo N, 

- le verificateur forme une fonction de compres- 
sion en prenant comme arguments le message 
a authentifier m et le resultat des operations 
precedentes, soitf(m, t, J), 

- ie verificateur compare la fonction de com- 
pression obtenue avec le titre T que le verifie a 
deiivre en debut de processus de verification, 
ce processus etant caracterise par Ie fait que : 

a) lors de Telaboration de raccreditation 
du donneur d^ordre, le nombre p servant a 
extraire la racine p ieme de IMdentite 
ombragee est choisi grand et comprend au 
moins une dizaine de bits, 

b) pour I'authentification du message, le 
processus ne comprend qu'un seul tralte- 
ment interactif et probabiliste (et non une 
repetition d'un tel traitement), ce traite- 
ment unique consistant dans les opera- 
tions suivantes : 

- le nombre que le verificateur tire au 
hasard est un entier D compris entre 0 et 
p-1 (bornesincluses), 

- roperation que le verifie effectue pour 
delivrer le temoin t est le produit. dans 
ranneau des entiers modulo N, de Tele- 
ment r qu'il a lui meme tire, par la 
puissance Dieme de 1' accreditation inverse 
B, le temoin etant alors r.B° mod N, 

- ies operations qu'effectue le verificateur 
. ..... sont le produit, dans I'anneau des entiers 

modulo N, de la puissance p ieme du 
temoin t, par la puissance D ieme de 
i'identite ombragee J. 

- le verificateur forme la fonction de 
compression du message et du resultat 
des operations precedentes soit f(m, fP J° 
mod N), 

- la comparaison que le verificateur effec- 65 
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tue porte alors sur la fonction de compres- 
sion qu'it a obtenue et sur le titre T que le 
verifie lui a deiivre en debut de processus 
de verification, I'authenticite du message 
etant acquise en un seul traitement des 
lors que, a la fin de ce traitement, ii y a 
correspondance entre tous les bits de la 
fonction de compression obtenue par le 
verificateur et les bits du titre delivres par 

" ■ leverifie. 

3. Precede de signature d'un message par 

une entite, cette entite etant censee etre 

accreditee, 

a) I'accreditation d'une entite signataire de 
messages ayant ete elaboree par un precede a 
cle publique comprenant les operations sui- 
vantes : 

- une autorite habilitee a delivrer des accredita- 
tions choisit deux nombres premiers, forme le 
produit N de ces deux nombres, tient secrets 
les deux nombres premiers, choisit ^f^itier p^ 

^ et publie N et p, 

- pour chaque entite signataire une identite 
numerique I est constituee puis completee par 
redondance pour former un mot J appele 
identite ombragee, 

- une accreditation A est elaboree par I'autonte 
en prenant la racine p ieme de I'identite 
ombragee J dans I'anneau des entiers modulo 
N{A = J^'PmodN), 

-dans un support approprie detenu par le 
signataire I'autonte charge I'inverse modulo N 
de I'accreditation A, soit un nombre B appele 
accreditation inverse (Bp J mod N = 1 ) , 
b) la signature d'un message m par un 
signataire d'identite I consistant en un traite- 
ment numerique probabiliste comprenant les 
operations suivantes : 

- le signataire tire au hasard au moins un entier r - 
appartenant a I'anneau des entiers modulo N. 

- le signataire eleve cet entier r a la puissance p 
modulo N. 

- ie signataire calcule une fonction de compres- 
sion f en prenant comme arguments le mes- 
sage m a signer et la puissance rP obtenue, 

- le signataire forme au moins un temoin t en 
effectuant certaines operations sur r et sur 
raccreditatlon inverse B. ces operations etant 
liees au nombre d tire au hasard et etant 
effectuees dans I'anneau des entiers modulo N, 

- le signataire transmet le message m, son 
identite I, le mot d, le ou les temoins t, 
I'ensemble constituant un message signe, 

ce procede etant caracterise par le fait que : 

a) lors de I'elaboration de I'accreditation 
du signataire le nombre p servant a extraire 
la racine p ieme de I'identite ombragee est 
choisi grand et comprend plusieurs di- 
zaines de bits, 

b) pour roperation de signature du 
message : 

- le signataire ne tire au hasard qu'un seul 
entier r appartenant a I'anneau des entiers 
modulo N, 

- Ia fonction de compression a pour 
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arguments le message m et le puissance p 
ieme de r, ce qui fournit un nombre D, 

- le temoin unique produit par le signataire 
est le produit dans I'anneau des entiers 
modulo N. de rentier r par la puissance D 5 
ieme de raccreditaiion inverse B, 

- le signataire fournit. avec le message m, 
son identite I, le mot D et le temoin t. 

4, Systeme d'authentification d'une accredi- 
tation a apport nu! de connaissano<= corr.ptc- 10 
p.ant, - 

a) des TiioyGTib pour elaborer cette accredita- 
tion par un procede du type a cle publique, ces 
moyens comprenant : 

- chez une autorite tiabilitee a deiivrer des 15 
accreditations des moyens pour choisir deux 
nonibres premiers, pour former le produit (N) 

de ces deux nombres, pour tenir secrets ces 
nombres, pour choisir un entier p et pour 
publier N et p ; 20 

- des moyens pour constituer, pour chaque 
detenteur d'une accreditation, une identite 
numerique I et pour completer cette identite par 
redondance pour former un mot J appele 
identite ombragee, 25 

- des moyens pour elaborer une accreditation 
A, ces moyens etant aptes a prendre la racine 
pieme de I'identite ombragee dans I'anneau des 
entiers modulo N (A = J^'^p mod N), 

- un support approprie contenant une memoire, 30 
ou est charge I'lnverse modulo N de I'accredita- 

tlon A soit un nombre B appele accreditation 
inverse (B"J mod N = 1), ce nombre B consti- 
tuant raccreditation qu'il s'agit d'authentifier, 

b) des moyens d'authentification de I'accredita- 35 
tion comprenant des moyens pour mettre en 
oeuvre un processus numerique interactif et 
probabiliste du type a apport nul de connais- 
sance et s'etablissant entre un support conte- 
nant une accreditation, support appele "le 40 
verifie" et un organe d'authentification appele 

"le verificateur", ces moyens comprenant : 

- un moyen dans le verifie pour tirer d'abord au 
hasard un entier r appartenant a I'anneau des 
entiers modulo N, 45 

- un moyen dans le verifie pour elever cet entier 
r a la puissance p modulo N, ie resultat etant 
appele titre T, 

- des moyens dans le verifie pour deiivrer alors 

au moins une partie des bits du titre T. 50 

- des moyens dans ie verificateur pour tirer 
ensuite au hasard un nombre (d) et demander 
au verifie d'effectuer certaines operations sur r 
et sur raccreditation inverse B, ces operations 
etant liees au nombre (d) tire au hasard par les 55 
moyens du verificateur et effectuees dans 
I'anneau des entiers modulo N, 

- des moyens dans le veri'i^ pOwi 3 r au 
verificateur u> I I'O'^Dre t, appete temoin, resultat 

CCS operations, 60 

- des moyens dans le verificateur pour effectuer 
a son tour des operations portant sur le temoin 
t delivre par le verifie et sur Tidentite ombragee 
J du verifie, operations liees elles aussi au 
nombre d tire au hasard par le verificateur et 65 




A1 20 

effectuees dans I'anneau des entiers modulo N, 
- des moyens dans le verificateur pour compa- 
rer le resultat ainsi obtenu avec les bits du titre 
T que les moyens du verifie ont delivre en debut 

ce prccejCw'£ 'iz vci.;,^ai;on. er admettre 
I'authenticite ae raccreditation s'ii retrouve ces 
bits. 

ce systeme etant caracterise par le fait que : 

a) dans les moyens pour elaborer rac- 
creditation (B) les moyens pour choisir le 
nombre p servant a extraire la racine p 
ieme de I'identite ombragee (J) sont aptes 
a choisir un nombre grand comprenant au 
moins une dizaine de bits. 

b) dans les moyens pour I'authentifica- 
tion de raccreditation, les moyens sont 
aptes a n'effectuer qu'un seul traitement 
interactif et probabiliste (et non une repeti- 
tion d'un tel traitement), ces moyens 
consistant alors en : 

- des moyens pour que le nombre que le 
verificateur tire au hasard soit un entier D 
compris entre 0 et p-1 (bornes incluses), 

- des moyens dans le verifie pour deiivrer 
un temoin t sont aptes a former le produit, 
dans I'anneau des entiers modulo N, de 
I'element r tire au hasard. par la puissance 
Dieme de raccreditation inverse B, le titre 
etant alors t = r.B° mod N, 

- des moyens dans le verificateur aptes a 
calculer le produit, dans I'anneau des 
entiers modulo N, de la puissance p ieme 
du temoin t par la puissance D ieme de 
I'identite ombragee J, soit t^ mod N, 

- des moyens de comparaison dans le 
verificateur aptes a comparer les bits du 
titre T delivres par les moyens du verifie et 
sur les bits obtenus par I'operation prece- 
dente, I'authenticite de raccreditation 
etant acquise en un seul traitement des 
lors que tous les bits du titre delivre par le 
verifie sont retrouves par le verificateur 
dans tPJ^ mod N. 

5. systeme d'authentification d'un message, 
ce message provenant d'un donneur d'ordre 
cense etre accredite, ce systeme comprenant : 
a) des moyens disposes chez un donneur 
d'ordre pour former un mot numerique B 
obtenu par un procede a cle publique et 
comprenant les moyens suivants : 

- des moyens chez une autorite habilitee a 
deiivrer des accreditations pour choisir deux 
nombre premiers, pour former le produit N de 
ces deux nombres, pour tenir secrets ces deux 
nombres, pour choisir un entier p et pour 
publier N et p, 

- i<zB nvcvcns pov.r constituer, pour chaque 
donneur d'ordre, une identite r.umeriqiie 1 et 
pour completer par redondance cette Identite 
pour former un mot J appele identite ombragee, 

- des moyens pour elaborer une accreditation A 
par I'autorite et pour prendre la racine p ieme de 
I'identite ombragee J dans I'anneau des entiers 
modulo N, (A - J^'p mod N), 

- un support approprie detenu par le donneur 
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d'ordre, Tautorite chargeant dans ce support 
rinverse modulo N de raccreditation A, soit un 
nombre B appele accreditation inverse (B^ J 
modN-1),- 

b) des moyens d'authentificatlon d'un message 5 
(m) emis par un donneur d'ordre ainsi accre- 
dite comprenant des moyens de mise en oeuvre 
d'un processus numerique interactif et probabi- 
liste du type a apport nul de connaissance et 
s'etablissant entre le support du donneur 10 
d'ordre cense accredite et appele "le verifie" et 
un organe de verification appele "le verifica- 
teur", ces moyens comprenant : 

- des moyens dans le verifie pour tirer d'abord 

au hasard un entier r appartenant a I'anneau des 15 
entiers modulo N, 

- des moyens dans le verifie pour elever cet 
entier r a la puissance p modulo N et calculer un 
resultat par une fonction de compression en 
prenant comme argument le message m et r^ 20 

mod N, soit f(m. r^ mod N), I e resultat etant 

appele titre T, 

- des moyens dans le verifie pour delivrer alors 
au moins une partie des bits du titre T, 

- des moyens dans le verificateur pour tirer 25 
ensuite au hasard un nombre d et demande aux 
moyens du verifie d'effectuer certaines opera- 
tions sur r et sur raccreditation inverse B, ces 
operations etant liees au nombre d tire au 
hasard par le verificateur et etant effectuees 30 
dans I'anneau des entiers modulo N. 

- des moyens dans le verifie pour fournir au 
verificateur un nombre t, appele temoin, resultat 
de ces operations, 

- des moyens dans le verificateur pour effectuer 35 
a son tour des operations portant sur le temoin 

t delivre par les moyens du verifie et sur 
I'identite ombragee J du verifie, operations liees 
elles aussi au nombre D tire au hasard par le 
verificateur et effectuees dans I'anneau des 40 
entiers modulo N, 

- des moyens dans le verificateur pour former 
une fonction de compression en prenant 
comme arguments le message a authentifier m 

et le resultat des operations precedentes, soit 45 
f(m,t.J). 

- des moyens dans le verificateur pour compa- 
rer la fonction de compression obtenue avec le 
titre T que le verifie a delivre en debut de 
processus de verification, 50 
ce systeme etant caracterise par le fait que : 

a) dans les moyens d'elaboration cfe 
raccreditation du donrteur d'ordre, le nom- 
bre p servant a extraire racine p teme de 
I'identite ombragee est choisi grand et SS 
com p rend au moins une di^rasTe de bits, 

b) dans les moyens d'authentificatlon du ~ 
message, les moyens sont aptes a mettre 

en oeuvre un processus qui ne comprend 
qu'un seul traitement interactif et probabi- 60 
liste (et non une repetition d'un tel traite- 
ment), ces.moyens comprenant : 
- des moyens dans le verificateur pour tirer 
au hasard un entier D compris entre 0 et 
p-1 (bornes incluses), 65 



- des moyens dans le verifie pour delivrer le 
temoin t qui soit le produit, dans I'anneau 
des entiers modulo N, de I'element r qu'il a 
!ui meme tire, par la puissance Dieme de 
raccreditation inverse B, le temoin etant 
alors r.B^ mod N, 

- des moyens dans verificateur pour effec- 
tuer le produit, dans I'anneau des entiers 
modulo N, de la puissance p ieme du 
temoin t, par la puissance D ieme de 
I'identite ombragee J, 

- des moyens dans le verificateur pour 
former la fonction de compression du 
message et du resultat des operations 
precedentes soit f {m, fP mod N), 

- les moyens de comparaison dans ie 
verificateur portant alors sur la fonction de 
compression que les moyens du verifica- 
teur ont obtenue et sur le titre T que les 
moyens du verifie lui ont delivre en debut 

- de processus de verification, I'authenticite - 
du message etant acquise en un seul 
traitement des lors que, a la fin de ce 
traitement, il y a correspondance entre 
tous les bits de la fonction de compression 
obtenue par le verificateur et les bits du 
titre deiivres parte verifie. 
6. Systeme pour signer un message par une 
entite, cette entite etant censee etre accredi- 
tee, ce systeme comprenant, 

a) des moyens pour elaborer une accreditation 
d*une entite signataire de messages, ces 
moyens mettant en oeuvre un precede a cle 
publique et comprenant : 

- des moyens chez une autorite habilitee a 
delivrer des accreditations pour choisir deux 
nombres premiers, pour former le produit N de 
ces deux nombres, pour tenir secrets les deux ^ 
nombres premiers, pour choisir un entier p et 
pour publier N et p. 

- des moyens pour constituer, pour chaque 
entite signataire. une identite numerique I et 
pour completer par redondance cette identite 
pour former un mot J appele identite ombragee, 

- des moyens pour elaborer une accreditation A 
par I'autorite, ces moyens etant aptes a prendre 
la racine p ieme de I'identite ombragee J dans 
ranneau des entiers modulo N (A J^^p mod 
N). 

- urr support approprie detenu par la signataire 
ou I'autorite peut charger I'inverse modulo N de 
raccreditation A, soit un nombre B appele 
accreditation inverse (B^ J mod N ^ 1 ), 

b) des moyens pour constituer la signature d'un 
message m par un signataire d'identite I et 
comprenant : 

- doc moyens chez le signataire pour tirer au 
hasard au moms, un ontior r appartenant a 
I'anneau des entiers modulo N; 

- des moyens chez le signataire pour elever cet 
entier r a la puissance p modulo N, 

- des moyens chez le signataire pour calculer 
une fonction de compression f en prenant 
comme arguments le message m a signer et la 
puissance r^ obtenue, 
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- des moyens chez le signataire pour former au 
moins un temoin t en effectuant certaines 
operations sur r et sur ! 'accreditation inverse B, 
ces operations etant liees au nombre d tire au 
hasard et etant effectuees dans I'anneau des 
entiers modulo N. 

- des moyens chez le signataire pour transmet- 
tre le message m, son identite I. le mot d, le ou 
les temoins t, I'ensemble constituant un mes- 
sage signe, 

ce systeme etant caracterise par le fait que : 

a) dans les moyens d'elaboration de 
Taccreditation du signataire les moyens 
pour choisir le nombre p servant a extraire 
la raclne p ieme de Tidentite ombragee 
sont aptes a choisir un nombre grand 
comprenant plusieurs dizaines de bits, 

b) dans les moyens pour I'operation de 
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signature du message : 

- les moyens du signataire ne tirent au 
hasard qu'un seu! entier r appartenant a 
I'anneau des entiers modulo N, 

- les moyens de compression operent avec 
des arguments qui sont le message m et la 
puissance p ieme de r. ce qui fournit un 
nombre D, 

- les moyens pour produire le temoin 
unique par ie signataire sont aptes a 
former le produit. dans Tanneau des en- 
tiers modulo N, de rentier r par la puis- 
sance D ieme de I 'accreditation inverse B, 

- les moyens du signataire fournissent, 
avec le message m, sont identite I, le mot D 
et le temoin t. 
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